来看看是什么病毒

11 |

0 | 2006-9-24 19:12:28 | 显示全部楼层 |阅读模式

可以上金山查啊http://vi.duba.net/好像是一个黑客后门程序，病毒运行后会添加系统服务开机自动启动，启动并注入IE进程（该进程为隐藏进程），连接远程主机的8000端口等待黑客命令。该病毒会使用户的主机完全受控于黑客。1、复制自身到%systemroot%\Hacker.com.cn.ini,并运行，删除原病毒文件。2、修改注册表，添加名为windows update的系统服务，并设置为开机自动启动。3、添加如下注册表健，并将其驱动指向病毒服务windows update。[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________ [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________"NextInstance"=0x1 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control] [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]"*NewlyCreated*"=0x0 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"Service"="Windows Updates " [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"Legacy"=0x1 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"ConfigFlags"=0x0 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"Class"="LegacyDriver" [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]"DeviceDesc"="Windows Updates "

使用道具举报

返回列表发新帖

千问

主题	0 回帖	4882万积分

论坛元老

Rank: 8 Rank: 8

积分: 48824836

回复楼主返回列表

问答

热门排行